Os dados de dezenas de milhares de torcedores ficaram expostos no servidor desprotegido do Futebol Card, plataforma online de vendas de ingressos para sócio-torcedores do Botafogo, do Sport e, principalmente, do Palmeiras.
Em função do vazamento, foi possível ter acesso a mais de 1.640 planilhas em formato CSV com 44 mil membros ativos e outros 9,7 mil bloqueados – todos do Palmeiras. Em quase 25 GB de arquivos constavam nome completo, data de nascimento, CPF, gênero, estado civil, telefone, email, endereço com CEP, data e plano de associação, recorrência do pagamento e até mesmo tamanho da camiseta de cada torcedor.
Além disso, o vazamento expôs materiais oficiais do Palmeiras, como banners de e-mails (cabeçalho e rodapé), imagens promocionais, logos em alta resolução, entre outros.
Ainda que os dados dos cartões de crédito utilizados para pagamentos não tenham sido revelados, todas as informações contidas no vazamento são o suficiente para que cibercriminosos apliquem golpes de phishing em sócios.
Segundo as investigações, as informações foram hospedadas inadequadamente em um ambiente vulnerável na nuvem. O servidor escolhido pelo Futebol Card foi o Amazon Simple Storage Service (S3), solução de armazenamento em nuvem da Amazon Web Services (AWS), mas os desenvolvedores esqueceram de especificar a privacidade da rede e os dados se tornaram públicos na nuvem.
Via: ZDNet